Datenschleuder #62

8/9/2019 Datenschleuder #62

1/32

Die Datenschleuder

ISSN 0930-1045

Mrz 1998, DM 5,00

Postvertriebsstck C11301F

Das wissenschaftliche Fachblatt fr Datenreisende

Ein Organ des Chaos Computer Club

#62

w Kryptodebatte verschrft sichw Im Fadenkreuz: SAP R/ 3

w Dokumentation Congress 97


2/32

Mrz 1998 Die Datenschleuder #62

AdressenInfo: http:/ / w w w.ccc.de

Diskussion: de.org.ccc

Anfragen: ccc@ ccc.deDie Datenschleuder Nr. 62

I. Quartal, Mrz 1998

Herausgeber:(Abos, Adressen etc.)Chaos Computer Club e.V.,Schwenckestr. 85, D-20255 Hamburg,Tel. +49 (40) 401801-0,Fax +49 (40) 4917689,EMail: [email protected]

Redaktion:(Artikel, Leserbriefe etc.)Redaktion Datenschleuder,Postfach 642 860, D-10048 Berlin,Tel +49 (30) 285 986 00Fax +49 (30) 285 986 56EMail: [email protected]

Druck: St. Pauli Druckerei HamburgViSdP: Andy Mller-Maguhn

Mitarbeiter dieser Ausgabe:Andreas Bogk ([email protected]),Andy Mller-Maguhn ([email protected]),Frank Rieger ([email protected]), TimPritlove ([email protected]), Tobias([email protected]), Wau Holland([email protected])Eigentumsvorbehalt:Diese Zeitschrift ist solange Eigen-tum des Absenders, bis sie dem Ge-fangenen persnlich ausgehndigt

worden ist. Zur-Habe-Nahme istkeine persnliche Aushndigung imSinne des Vorbehalts. Wird die Zeit-schrift dem Gefangenen nicht ausge-hndigt, so ist sie dem Absender mitdem Grund der Nichtaushndigungin Form eines rechtsmittelfhigenBescheides zurckzusenden.Copyright (C) bei den AutorenAbdruck fr nichtgewerbliche

Zwecke bei Quellenangabe erlaubt.

Erfa-Kreise des CCCHamburg: Treff jeden Dienstag, 20 Uhr in den Clubrumen in derSchwenckestr. 85 oder im griechischen Restaurant gegenber. U-BahnOsterstrae / Tel. (040) 401801-0, Fax (040) 4917689,EMail: [email protected]

Berlin: Club Discordia Donnerstags alle zwei Wochen 17-23 Uhr inden Clubrumen, Marienstrae 11, Hinterhof, Berlin-Mitte, NheBahnhof Friedrichstrae, Tel. (030) 28598600, Fax (030) 28598656,EMail: [email protected]. Briefpost: CCC Berlin, Postfach 642 860, D-10048 Berlin.

Chaosradio auf Radio Fritz i.d.R. am letzten Mittwoch im Monat von

22.00-01.00 Uhr, Aufzeichnungen der Sendungen im Internetabrufbar, Feedback an [email protected], http://chaosradio.ccc.de.

Sachsen/Leipzig: Treffen jeden Dienstag ab 19 Uhr im CafAmbiente, Petersteinweg, Nhe Neues Rathaus/Hauptpolizeiwache.Veranstaltungen werden p. Mail ber den Sachsen-Verteiler (Uni-Leipzig) angekndigt. Infos fr Neueinsteiger gibts [email protected]. Briefpost: Virtueller CCC-Sachsen, c/oFrohburger Medienhaus, Leipziger Str. 3, 04654 Frohburg,Tel: (034348) 51153, Fax (034348) 51024, EMail: [email protected],http://www.sachsen.ccc.de

Bielefeld: CCC Bielefeld: Treff jeden Dienstag um 20 Uhr in der

Gaststtte Extra, Siekerstrae 23, Bielefeld. Kontakt: M. Gerdes (0521)121429, EMail: [email protected].

Kln: Treff jeden Dienstag um 19:30 im ChaosLabor, Bobstrae 28(Ecke Clemensstrae), 50676 Kln.http://koeln.ccc.de, EMail: [email protected].

Mnchengladbach: Treff: Surfers Paradise, Bahner 19 in Mnchen-gladbach vorerst einmal im Monat jeden letzten Freitag, Ab 1.August dann immer Dienstags um 20 Uhr. EMail: [email protected]

Ulm: Treff jeden Montag um 19 Uhr im Cafe Einstein an der UniUlm. Kontakt: [email protected].

Frankfurt/Mainz: kriegen sich noch nicht zusammengerauft. Drfenwir noch hoffen?

Chaos FamilyBielefeld: FoeBud e.V., Treff jeden Dienstag um 19:30 im Cafe Durstin der Heeperstr. 64. Monatliche Public Domain Veranstaltung,siehe Mailbox. Briefpost: Foebud e.V., Marktstr. 18, D-33602 Bielefeld,Fax. (0521) 61172, Mailbox (0521) 68000 und Telefon-Hotline (0521)175254 Mo-Fr 17-19 Uhr. EMail [email protected]

Stuttgart: Computerrunde Suecrates, [email protected].

sterreich: Public Netbase, http://www.t0.or.at/

Engagierte ComputerexpertInnen, Postfach 168, A-1015 Wien.USA: 2600, http://www.2600.com

Impressum


3/32

Die Datenschleuder #62 Mrz 1998

auch unser Web Server direkt an einer

Datenautobahnzufahrt geparkt und kann endlichmit der bentigten und gewnschten Bandbreitedem Ansturm der Klickenden entgegentreten.

Da sich die Zusammenarbeit mit SNAFU dabeistets extrem unkompliziert gestaltet hat, bedan-ken wir uns auch schn artig und knallen dafrauch das SNAFU-Logo fett auf diese Seite frPyramiden haben wir ja eh ne Schwche [EndeWerbeblock].

Diese Datenschleuder bringt die aktuelleThemenlage vor allem durch einen Rckblick aufVeranstaltungen des letzten Congresses auf denTisch. Der Kampf um die Freiheit der Privat-sphre scheint erst richtig loszugehen (lausch,lausch) und der nicht abreiende Trend in Rich-tung Totalvernetzung und Globalisierung wirft

auch schon seine Schatten voraus. Eine Betrach-tung der Sicherheitskonzepte der diesen

Systemen zugrunde meist zugrundelie-genden Software ndet Ihr

auch in diesem Heft.

Apropos Sicherheit. Dieist brigens berechen-

bar! Das ist doch mal was neues. Den Beleg dafrndet Ihr auch auf den nchsten Seiten. brigens:wer in Zukunft prima Artikel fr die Daten-schleuder schreibt, wird mit einem Abo belohnt!

Viel Spa am [email protected]

IndexWenn was nicht stimmt Impressum sAdressen sEditorial sLets Pie! Lets Pie! Das Interview ssKrypto-War und PGP-Verkauf ssIm Fadenkreuz: SAP R/3 sssNokia Security Code Generator ssLauschangriff & Jesaja 8,10 sss

Liebe

Zielgruppe,

Situation Normal All Fucked Up?Der diskordische Lebenswandel ist manchmal

ganz schn schlecht fr die Gesundheit. DerCongress ist gerade vorbei, da wlzt man sich aufdie andere Seite und schon steht die CeBIT vorder Tr. Also wieder volles Chaosprogramm: DerClub ist nun zum zweiten Mal mit einem eigenenStand vertreten und wird wieder einen kleinenCongress durchfhren tglicheWorkshops zu den aktuellen Themen.

Das letzte Vierteljahr warerfreulich ereignisreich. Der BerlinerErfa-Kreis hat sich neue Clubrumegesucht und auch die Klner habenihren Erfa-Kreis gestartet und ihnmit einer Party eingeweiht. Bei denBerlinern ndet mit dem Club

Discordia zustzlich noch einregelmiger, ffentlicherDonnerstags-Treff statt. Und das Chaosradio hatmittlerweile seine 25. Sendung ber den thergejagt. Na bitte.

[Beginn Werbeblock] Dank des InternetService Providers SNAFU (a.k.a. InteractiveNetworx) konnte nicht nur der letzte Congressproblemlos mit Internet bestckt werden, nun ist

Editorial

CRD Kurzmeldungen ssssCCC97: Sicherheit bei der Telekom ssCCC97: Krypto-Einfhrung ssCCC97: Open Source Processing ssssCCC97: ISDN fr Anfnger sssCCC97: Packet-Radio Einfhrung sssCCC97: Dummheit in Netzen ssssMedien / Termine ssssDas Allerletzte ssssMitgliedsfetzen / Bestellfetzen sssss


4/32


sharpened imagination and his power to the

governments and to the world as it is today that is to say gloomy, unjust and nauseating. Hecould have been a utopist, but he prefers beingthe lackey of the establishment. His power iseffective and bigger than that of the leaders of thegovernments, who are only many-coloredservants. So Bill Gates was at the top of our listsof victims. The attack against him is symbolic, itsagainst hierarchical power itself. Our war cry wasexplicit: Lets pie! Lets pie the polluting lolly!So you have a whole list of people you want topie?Yes, we have meetings here in my house. Theseare funny meetings; we have a good time withgood drinks and at the same time we plot. Wealways agree on the target choice and then wehave to study how to reach the target.How did you prepare to pie Bill Gates?For several years, theres been a newphenomenon. Traitors appear in the entourage ofour victims who contact us to give us rsthand

information. Our victims, at rst sight, are veryunpleasant and they are far from being loved intheir own circle; this is our trump. For instance,these last years, Patrick Poivre DArvor,[producer] Daniel Toscan du Plantier and [Frenchminister] Nicolas Sarkozy have been betrayed. Inthe case of Bill Gates, a member of the staff ofMicrosoft Belgium contacted us and gave us amysterious rendezvous. Thanks to him, the opera-tion was a success. Of course we wont give hisname. Its a secret; only a few know his identity.

But we want to tell it because we would be veryamused if there was suspicion in the staff ofMicrosoft. Whos the traitor?!

It happened one week before the arrival of BillGates in Belgium. We received, little by little, veryprecise information about the planning of the Bill.Some Parisian accomplices followed him the day

before, step by step, notably when he rst metLionel Jospin [French prime minister]. Forinstance, we learned that he was always escorted

by ve armed bodyguards but no more. InBelgium, he had four motorcycle policemen and

Lets pie! Lets pie!

Until last week, Noel Godin was relatively

unknown in the United States. A 52-year-oldBelgian author, lm historian, actor (The SexualLife of the Belgians), writer (Cream andPunishment) and entarteur (a Godin coinagethat roughly translates as encaker or pie-er),Godin led the gang that gave to Bill Gates whatso many of us only dream of: a big wet pie in theface. The attack took place at the entrance of LeConcert Noble on Arlon Street in Brussels andwas widely reported in the press.

Godin doesntown a computer anddidnt even knowwhat a URL is. Hisgirlfriend, however,uses a PC. (Thisinterview wasconducted andtranslated byHugues Henry.)

Who are you, NoelGodin?Im part of a gang of

bad hellions thathave declared thepie war on all theunpleasant celebrities in every kind of domain(slogan: Lets pie! Lets pie! Nincompoopguys!). We began to act against emptycelebrities from the artistic world who werethinking they were the cats whiskers. Then we

attacked the TV news business in France, forinstance, Patrick Poivre DArvor [a famousFrench TV presenter]. Then it became politicalwith Philippe Douste-Blazy in Cannes, the Frenchminister of culture, or the other French ministerNicolas Sarkozy last year in Brussels.When did you rst pie someone?In November 1969, with French writer MargueriteDuras, who represented for us the empty novel.Why did you choose Bill Gates?

Because in a way he is the master of the world,and then because hes offering his intelligence, his


5/32


So you werent paid by someone from Netscape

or Oracle?Certainly not; I wasnt even aware of theirexistence.Werent you afraid of the armed bodyguards and

the police?This time, yes, wewere afraid. Wedidnt sleep verywell the night

before. We thought,since the

bodyguards of BillGates areprofessional, theywont re. I told mymen, Be happyand show it is onlycream. To bestrong, we dranksome good Trappist

beers. So they were

laughing and jokingwhen they went to

the front... Of course I wasnt in the commandobecause the authorities, the press... they know myface. It would have been a mistake, even with adisguise. So I was on an adjacent street.How many pies were thrown?Four touched Bill Gates in the face. There were 25pies in all. One of the secrets of the gloupinesqueoperation is that you dont have to throw the pies.You must put the pies point-blank in the face of

the victim. One of the members of the victoriouscommando is the lmmaker Rmy Belvaux (ManBites Dog). He unfortunately lost his papers andso the cops revealed his identity.What were their feelings just the second afterthey touched Bill Gates with the pie?The exhilaration of victory. Exquisite pleasure.The gloupinesque operations have a 95 percentsuccess rate. But each time we are stressed, andeach time its the same pleasure.

How did Bill Gates react?

he had ve important rendezvous that day. So, to

succeed, we only had one solution: our number.We were 30 individuals. Thats why wesucceeded. We were extremely determined, wewere in a good mood. We were a funnycommando.

We were dividedin gloupinesques[from hispseudonym, LeGloupier] ghtingunits of three onArlon Street, wherepeople were waitingfor him in Le ConcertNoble. There wastrafc in the street sothe plotters were ano-nymous. When BillGates arrived withscreaming sirens, hewalked outside his

car and as he wasclimbing the stepsseveral of our ghting units gathered and theycreated a kind of pie whirl that fell on him. The

bodyguards were completely distraught. None ofthem even took out his gun. They were as dazedas Bill was.Do you know why theres a traitor in the staff ofMicrosoft Belgium? What were his motivations?

This man told us he really loved Bill Gates inthe past, saying that he was very cool and

passionate. But little by little he considered thathis power had tainted him, and that he was

becoming more and more haughty with his owncollaborators. So the man who gave us theinformation considered, and hes not alone, that itwouldnt be bad to teach Bill a lesson, to bringhim back to reality.

Thats how he explained to us why he wasdoing it. Hes far from being a member of our

band, hes not an anarchist and he likes his work

with Microsoft, but he thought it had to happen.

Nincompoop guys!


6/32


He had a kind of promotional smile that became a

kind of smile made of sand...When you touch your victim, dont you have thefeeling of being powerful? You had pies, but itcould have been a knife.Yes, but this is not ourproblem. We are comicalterrorists and the pie issymbolic. The victim isonly injured in his self-esteem. We take a lot ofcare that the pies canthurt psysically. Thepastry is soft and full ofcream.Do you cook the pies?No, we are very lazy. We buy the pies in a shopnearby the place of the crime. This time, the pieswhere coming from a little shop called Au PetitPain Frais, chausse de Haecht.Will Bill Gates pursue your commandos?No, it would be catastrophic for him and his

reputation.If someone gave you money to pie his enemy,would you accept it?We have never been pie mercenaries. But wevehad several offers of a good amount of money.For instance, I had an offer to pie CatherineDeneuve in Cannes and also Sharon Stone. Irefused. I love Catherine Deneuve and the moviesof Jacques Demy; and that year Sharon Stone wasin a western I really liked. So I had nothingagainst her. We are pie pirates. But if we receive

money when we pie someone, we are not puritanleftists. We received money once: in the case of[famous French singer and actor] Patrick Bruel.We offered the money to the anarchist Parisianmagazine Mordicus. So if someone wants to giveus money we wont misuse it. I could really enjoylife if I could earn much money doing this job! Itsa big game and we have fun together. We want tolive fast and to laugh as much as we can. Wewant to transform our lives just like Oscar Wilde

wanted to. Everything is awful around us, so letstry to have fun.

If Bill Gates had to come back in a few months

in Belgium, would pie him again?We shall see. But we declare war on all thegovernments of the world, on Tony Blair, on BillClinton, on the pope... When the pope last came

to Belgium, if wed hada traitor sponsoring us,wed have pied him.We had a strategy. Forus, the pope is a dange-rous serial killer

because he is againstthe preservative [birthcontrol]. On our

blacklist, you will alsond Demi Moore; Tom Cruise and John Travolta,who are both members of the Scientology; BillGraham... On the other hand, we have more andmore sympathizers everywhere. We hadthousands of propositions to help us, evenabroad. We also have many enemies. But we arelike the characters of a cartoon. We are like Laurel

& Hardy, Bugs Bunny, the Marx Brothers, theyippies of May 1968.

The Netly Newshttp://cgi.pathnder.com/netly/0,1039,1733,00.htmlInterview by Hugues Henry February 9, 1998

Tortenwerferterroristeninterview


7/32


Auf dem Chaos Communication Congress

1997 haben wir eine intensive und mituntererhitzte Debatte ber die Kryptoregulierung, ihredeutsche Variante und die vermeintlichen Hinter-grnde gefhrt. Der eigentlich zur Podiumsdis-kussion geladene und mageblich fr eine Regu-lierung von Kryptographie (Verbot allerVerfahren, wo der Schlssel nicht hinterlegt ist

bzw. so kurz ist, da staatliche Stellen mitlesenknnen) eintretende Ministerialdirektor desInnenministeriums Reinhard Rupprecht hattekurz vor dem Kongress leider abgesagt.

Dies fhrte zu einer eher heftig gefhrtenPodiumsdiskussion Wirtschaftsspionage undInnere Sicherheit, die letztlich auch die ehermittelrelevante Frage aufstellte, warum sicheigentlich das deutsche Innenministerium sokompatibel zu den amerikanischen Plnen einesglobalen Key-Escrow verhlt. Inwieweit diedeutsche Regierung dabei ferngesteuert vonamerikanischen Stellen ist, sei dahingestellt.

Mittlerweile ist jedenfalls klar, da die ffent-

liche Stille des Innenministeriums nichts Gutes zuverheien hat. Es ist nicht etwa so, da Innenmi-nister Kanther seine Vorstellungen nach dem eherheftigen Protest auch aus Kreisen der Industrie fallengelassen hat. Vielmehr versucht das Innen-ministerium derzeit ber das BSI in einem ETSIPolicy Gremium auf der Ebene der europ-ischen Normungen der de-facto-Standards -dafr zu sorgen, da hier entsprechende Regulie-rungen implementiert werden. Ein solches Ver-halten des deutschen Innenministers mu nicht

unbedingt das ist durchaus plausibel aufDruck amerikanischer Stellen bzw. des Auenmi-nisteriums herrhren. Der Kanthersche ber-wachungswahn knnte sich auch durchaus dieamerikanischen Vorstellungen zu eigen gemachthaben. In den Auswirkungen kann uns das aberauch ziemlich egal sein mit berzeugungstternhaben wir es in der Debatte zwar nicht durchge-hend, aber doch in zunehmendem Mae zu tun.

Insofern scheinen mir zunchst andere Fakten

wichtiger. Anla zur Sorge bietet die Entwicklungum PGP. Nachdem Phil Zimmermann unter

Beibehaltung gewisser Entscheidungshoheiten

seine Firma PGP Inc. an die Firma NetworkAssociates (NETA) verkauft hat, ist die weitereEntwicklung unbersichtlich geworden. NETAwar nach dem Kauf zunchst aus der KeyRecovery Alliance (http://www.kra.org) ausgetre-ten. Die Key Recovery Alliance ist dabei einZusammenschlu von Firmen, die dieVorstellungen der amerikanischen Regierunguntersttzen und im vorauseilenden GehorsamKey Recovery untersttzen. Dies klingt vielleichtetwas unglaublich, ist aber nur logisch, wennman dazu wei, da nur Firmen, die KeyRecovery untersttzen, in diesem Technologie-

bereich noch Auftrge der amerikanischen Regie-rung bekommen. Auch die deutsche (!) SiemensAG ist beispielsweise Mitglied der KRA.

Nachdem NETA vor kurzem die Firma TrustedInformation Systems (TIS) gekauft hat, erwgt sienun der KRA wieder beizutreten (Quelle:http://www.news.com/News/Item/0,4,19402,0

0.html). Der Hintergrund erscheint wiederum aus

geschftlicher Sicht logisch. Der Geschftsfhrervon TIS ist eine der treibenden Krfte der KRA,das Kerngeschft der Firma die Belieferung vonRegierungsstellen. Wenn man die KRA-Mit-gliedschaft von TIS durch den Kauf beenden wr-de, wrde man automatisch auch einen Groteilder Kunden verlieren:

Its highly likely that Network Associates will be

a member, Network Associates chief executive Bill

Larson said today. The Key Recovery Alliance is a

very important organization... Philosophically, we

are bridging two discrete worlds the PGP-Internet world and the TIS intelligence world.

TIS has major consulting contracts with U.S.

government agencies.

Das sieht mit Verlaub ziemlich Scheie frdie Zukunft aus. Am besten wir gewhnen unsgar nicht erst an die Oberche von PGP 5, son-dern rufen lieber nach Programmierern, dieanstndige 2.6.2 Implementationen oderAlternativen liefern. Aufpassen!

[email protected]

Krypto-War und PGP-Verkauf


8/32


Einer unser Autoren hatte vor einigen Monaten das

Glck (oder sagen w ir angesichts des geringenUnterhaltungsfaktors besser: die Gelegenheit) eine

Administrator- Schulung fr SAP R/ 3 zu besuchen.

Untenstehend geben w ir seine Not izen, subjektiven

Anmerkungen und persnlichen Bemerkungen w ieder,

damit der geneigte Leser einen ersten Eindruck von den

Zustnden in einem System bekommt, mit dem 80% der

Buchhaltung der deutschen Wirtschaft betrieben wird.

Konzeptionelle Features von R/3:

1. Drei-Schichten-ModellDie SAP unterscheidet logisch zwischenDatenbank, Applikation undPrsentation.R/3 ist prinzipiell ein Interpretermit einer 4GL-Sprache namens ABAP/4.

2. Der Datenbankserver ist ein traditionellerSQL-Server wie Oracle. Es gibt aus der Sichtvon R/3 immer genau einen zentralenDatenbankserver. Es gibt verteilteDatenbankserver, die aber nur auf

Datenbankebene verteilt werden, d.h. fr SAPsehen sie immer noch wie eine Datenbankaus.

3. Die Application-Server interpretieren dieABAP-Programme und machen die Daten-

bankzugriffe.Die Prozesse mssen nicht aufdem gleichen Rechner wie die Datenbank lau-fen, sie mssen nicht mal untereinander aufder gleichen Hardware laufen.

4. Die Prsentation wird von einem speziellenTerminal-Programm namens SAPGUI

erledigt. Der Trafc zwischen GUI undApplication Server ist Low-Volume und auchfr WAN-Verbindungen gedacht und so stelltsich die SAP auch eine Verteilung vor.

5. Alle Daten liegen in der Datenbank.Auch dieABAP-Programme und die Kongurations-dateien. R/3 kommt mit ber 10.000 Tabellen.

6. Wilkrliche Limits wo man hinguckt.Welchedavon historisch bedingt sind, welchetechnisch, welche inzwischen nicht mehr

ntig wren, ?

SAP wirbt gerne

mit dem Schlag-wort Sicherheitfr R/3. Leider istdamit nicht dieSicherheit vor mut-willigen Angriffengemeint, sondernvor versehent-lichem Daten-verlust, z.B. durch

Plattenausfall.In der Tat geht R/3 in punctoAusfallsicherheit ziemlich weit. Dieser Aspektvon R/3 soll hier aber nicht unser Thema sein.

Fr eine Security-Prfung von R/3 mu mansich natrlich zuerst fragen, welches Ziel einAngriff haben knnte. Bei R/3 ist die Angriffs-che natrlich besonders hoch, weil R/3 potenti-ell sehr sensible Daten beinhaltet, wie z.B.Gehlter, Rechnungen, Lagerbestnde, Produk-tionszahlen oder Personaldaten. Wir denierenalso als hchstes Ziel fr einen Angreifer den

Zugriff auf R/3-Tabellen. Besondere Beachtungverdient hierbei der Umstand, da mehr als 80%aller Angriffe auf Computersysteme vonsogenannten Innenttern, also frustrierten oderabgeworbenen Mitarbeitern begangen werden.

Das erste Thema ist also das Berechtigungs-konzept von R/3. Da bei R/3 die Daten nichtdirekt im Filesystem abgelegt sind, sondern inDatenbank-Tabellen, bernimmt die User-berprfung nicht das Betriebssystem. Das isteinerseits erfreulich, weil man dann auf OS-Ebene

den R/3-Usern keine Accounts einrichten mu.Andererseits ist das bedenklich, weil aufBetriebssystem-Ebene die Zugriffssicherung eingut verstandenes Problem ist.

Die offensichtliche Alternative fr die Rechte-Prfung wre, auf Datenbank-Ebene den Zugriffzu regulieren. Die SAP entschied sich aber dafr,die Zugriffsberechtigungen komplett selber zuimplementieren. Auf Nachfrage wurde alsBegrndung genannt, da die Datenbanken das

alle unterschiedlich machten und man ja portabel

Im Fadenkreuz: SAP R/ 3


9/32


bleiben wolle. Seltsam, wo es doch sowieso fr

jedes Datenbank-Backend eigenen Code gibt.An dieser Stelle freut sich der Sicherheits-

Fachmann, da bei R/3 die ABAP-Quellenmitgeliefert werden. Man kann sich alsoanschauen, wie die Berechtigungen implementiertwerden. Und ein erster Blick sieht vielver-sprechend aus, hat sich die SAP doch ent-schieden, die Rechte rein kumulativ zu vergeben,d.h. was nicht explizit erlaubt wurde, ist ver-

boten.Leider stellt sich heraus, da die Rechte nicht

pro Datenbank-Objekt vergeben werden, sonderndie ABAP-Programme von Hand (und nur vonHand!) die Berechtigungen prfen. Wnschens-wert wre gewesen, einem User den Lesezugriffauf die Gehalts-Tabelle zu verweigern, unddann sicher zu sein, da er keinen Zugriffhat. Bei R/3 mu man alle zugreifendenProgramme daraufhin untersuchen, ob siedem User Zugriffe ermglichen, die ernicht haben drfte. Bei einem Tabellen-

umfang von ber 50 MB bei den ABAP-Quellen ist das sicher keine trivialeAufgabe.

Schlimmer noch: das eherne Prinzip derSicherheit ist so verletzt, das Prinzip derminimalen Berechtigung! Es ist nichtmglich, einem Developer Zugriff nur aufseinen Bereich einzurumen. Wenn eineFirma jetzt einen Consultant einstellt, derfr sie ein ABAP-Programm schreibt, undder Mann fhlt sich schlecht behandelt,

kann er in seinem kleinen Buchungs-Programm auch vollen Zugriff auf die User- undPayroll-Tabellen nehmen oder gar das ganzeSystem zum Stillstand bringen. Wnschenswertwre ein zweistuges Sicherheitsmodell, wo fr

jedes Programm genau wie fr jeden User explizitder Zugriff erlaubt werden mu.

Der einzige Schutz gegen maliziseProgramme ist die sogenannte System-Land-schaft. Eine R/3-Installation besteht gewhnlich

aus mehreren Systemen. SAP empehlt drei

Systeme: ein Development-System, ein Quality-

Assurance-System und ein Production-System.Die Idee ist, da der Developer mit seinem Pro-gramm nur auf dem Development-System spielendarf, und das Programm dann nur vomAdministrator zum jeweils nchsten Systemtransportiert werden kann. Das mag zwar gegenversehentlichen Datenausfall helfen, aber gegenDatums- oder System-ID-Trigger ist so kein Krautgewachsen.

Halten wir also fest: jeder Entwickler kanneine R/3-Installation kompromittieren. Prinzipiellkann der Administrator natrlich alle ent-wickelten Programme nach offensichtlichentrojanischen Code-Fetzen absuchen, aber das ist

nicht zumutbar und auch keine prinzipielleLsung fr das Problem.

Um die Tragweite dieses Problems zubegreifen, mu man einen Blick in den Stellen-markt einer fast beliebigen IT-Publikation werfenund mit Erstaunen feststellen, da praktisch alleFirmen hnderingend R/3-Experten suchen. DerMarkt konnte dem explosiven Wachstum der SAPnicht folgen. Es wre also ein leichtes fr eine

Firma (oder einen Nachrichtendienst), der Kon-

Eine erste Sicherheitsbetrachtung


10/32


...SAP R/ 3...

Root-Zugang einbaute, aber auch eine ber-

setzung von sich selber erkannte und diesen Codewieder einbaute in das Kompilat, so da alleQuellcodes sauber waren. Wenn man bedenkt,um welche Geldmengen es geht, wenn man einenAngriff wie diesen gegen die deutschenGrobanken oder Automobil-Hersteller richtenwrde (der Angriff mte nur einmal entwickeltwerden und wre sofort weltweit einsetzbar!),wird einem das Ausma der Problematik bewut.Weil auch innerhalb von SAP mit der Workbench

gearbeitet wird, wrdenauch die SAP-Entwickler von so einemtrojanischen Pferd nichtsmitbekommen, und esab dem nchsten Updatemit ausliefern. Da dasnicht schon lngstgeschehen ist, kann inmeinen Augen auchniemand wirklich

ausschlieen.Vielleicht als

Anmerkung am Rande: R/3 bersetzt die ABAP-Quellen in einen Zwischencode, der natrlichauch in einer SQL-Tabelle gespeichert wird. Eswrde also wahrscheinlich reichen, diesen kompi-lierten Zwischencode in der Tabelle zumodizieren, um den gewnschten Effekt zuhaben.

Nach diesen allgemeinen berlegungen nochein paar konkrete Betrachtungen: Ein Interpreter-

Kernel ist ein sehr gutes Konzept. Er kann ganzeFehlerklassen ausschlieen, wie Pufferberlufeund Memory-Leaks. Aber ein Interpreter machtdas Gesamtprogramm nur vertrauenswrdiger,wenn er klein und berschaubar ist. Der R/3-Kernel ist ber 11 Megabytes gro (das ist

bereits das gestrippte Binary!).Insgesamt heit Security auch Schutz gegen

Denial-Of-Service-Attacken, d. h. es darf nichtmglich sein, ein System durch einen Bug zum

Komplett-Absturz zu bringen. Bekanntermaensteigt die Wahrscheinlichkeit fr die Existenz

kurrenz einen SAP-Consultant unterzuschieben,

mit dem Ziel, Intelligence zu sammeln oder einenBankrott zu erzeugen (Backups werden sichernicht ewig aufgehoben und ein trojanisches Pferdmit Datumssteuerung mu nur den Backup-Zyklus berleben, um auf allen Backupsvorhanden zu sein). Wenn man jetzt bedenkt, dapraktisch alle greren Unternehmen R/3einsetzen, ist die strategische Bedeutung einerR/3-Kompromittierung fr einenNachrichtendienst offensichtlich.

Das Problem liegtaber noch tiefer. Wieoben bereits angedeutet,liegen alle ABAP-Quellen in einerDatenbank. Ein direktesEditieren scheidet alsoaus. Bei R/3 werdenABAP-Quellen mit demSAPGUI in einer R/3-Transaktion editiert,

hnlich wie man dieUser-Tabelle bearbeitenwrde. Diese Workbench-Transaktion ist genauwie die anderen Transaktionen selber in ABAPgeschrieben. Dieser Umstand ermglicht eineAttacke, gegen die praktisch kein Krautgewachsen ist. Es ist nmlich denkbar, den ABAP-Quellcode der Workbench-Transaktion so zundern, da es malizisen Code nicht anzeigt,inklusive dieser nderung an sich selbernatrlich. Das Ergebnis wre ein R/3-System, das

genau aussieht wie immer, und sogar eineAnalyse der ABAP-Quellcodes zeigt einunverndertes System. Tatschlich knnten imHintergrund aber praktisch beliebige Datenbank-Modikationen laufen.

Das klingt mglicherweise nicht oder nurunter gewaltigem Aufwand umsetzbar. DieGeschichte zeigt aber einen hnlichen (sogar kom-plizierteren Fall), bei dem nicht mal materielleGesichtspunkte der Hintergrund waren, nmlich

ein C-Compiler, der erkannte, wenn er das Login-Programm bersetzte, und dort einen weiteren


11/32


Schlielich sorgen bei R/3 noch Details fr

einen bitteren Nachgeschmack wie dieLimitierung von Passwrtern auf 8 Zeichen,wobei Gro- und Kleinschreibung egal ist. DieErfahrung sagt auerdem, da SAP-Installationengewhnlich von Nicht-Pros gemacht werden.Meistens wird fr die Installation und dasCustomizing ein Consultant eingestellt, derdanach aber weg ist. Und R/3-Pros haben seltengleichzeitig ein tieferes Verstndnis fr daszugrundeliegende Betriebssystem. So ist inpraktisch allen Fllen auf den R/3-Servern noch

jeder Standard-Dienst des Betriebssystems undder Datenbankaktiviert, ja telnetund ftp werdensogar stndignoch benutzt(telnet zurFernwartung undftp weil die einge-

bauten Methoden

zurDateibertragungzu langsam sind).Schlimmer noch SAP setzt eineNFS-Installationzwischen denSystemen voraus!

Aber auch alte Bekannte wie rexec werden vonR/3 benutzt.

Wem diese Probleme noch nicht reichen: die

eigentlichen Transaktionen zwischen R/3 unddem SAPGUI werden nicht verschlsselt. Siegehen zwar nicht im Klartext ber das Netz, weilsie komprimiert sind, aber von Sicherheit kannauch hier nicht die Rede sein. Wenigstens stehendie Passwrter nicht im Klartext in derDatenbank

Sozusagen als Salz in der Suppe bietet SAPjetzt auch einen Internet Transaction Server an,der den Web-Server mit dem Warenwirtschafts-

System verbinden soll. Dieser Server wird nur frNT angeboten.

eines Bugs exponentiell mit der Programmgre.

Bei einem 11-MB-Kernel und 50 MB ABAP-Quellen kann von berschaubarkeit bei R/3keine Rede sein. Die Software-Industrie hat sichin den letzten Jahrzehnten Konzepte berlegt, umein Projekt berschaubar und wartbar zu halten.An erster Stelle steht, da der Code kommentiertsein mu und da Bezeichner aussagekrftig ver-geben werden. Bei R/3 scheinen Bezeichner auf10 Zeichen beschrnkt zu sein, so da Bezeichnergrundstzlich Namen wie Line Noise haben.hnlich sieht es bei den Namen von Tabellen undTablespaces aus. So erkennt man den R/3-Newbiedaran, da er nochnicht wei, wofrPSAPBTABD steht.(Das ist der Datenteil(im Gegensatz zumIndex-Teil, derPSAPBTABI heit) derBewegungsdaten-Tabelle (d.h. Buchun-

gen). Der Wartbarkeitist das natrlichextrem abtrglich.Hinzu kommt, dainnerhalb von R/3sehr oft Codedupliziert wird, dervon anderen(gewhnlich besser) erledigt wird. U. a. handeltes sich um: Userverwaltung

Editor fr ABAP-Programmierung (edlin-Niveau)

Versionsverwaltung (kein Undo auer berDatenbank-Backups)

Scheduler (deutlich weniger leistungsfhig alscron)

Backup Drucken (fr Remote-Drucken zu NT haben

sie ein SAPLPD. EXE geschrieben) OS-Monitor (sammelt Statistiken ber das

System)

...eine erste Sicherheitsbetrachtung...


12/32


...SAP R/ 3

Um es auf den Punkt zu bringen: R/3 istunsicher. Betriebssysteme sind meistens auchunsicher. Sobald jemand Shell-Zugriff auf einemSystem hat, hat er gewhnlich auch schnellZugriff auf die Oracle-Datenbank, und damit hat

er Total-Zugriff auf die R/3-Datenbasis. In diesemMoment hat der Systembetreiber verloren.Andersherum kann ein Developer in einem R/3-System die Datenbank komplett ndern und auch

beliebige Shell-Kommandos ausfhren, d. h. sicheine Shell erzeugen.

Neben den blichen netzwerkbezogenenSicherheitsmanahmen bleibt also fr denSystembetreiber eigentlich nur: Auf keinen Fall Windows NT einsetzen!

Schon gar nicht als Server.

Zu hoffen, da keine trojanischen Pferde inder Datenbasis sind

Darauf achten, da die Consultant-Firmahaftbar und gut versichert ist

Die Account-Daten in einer SAP R/3-Standardinstallation sind: Es gibt einen Client 066, genannt Early

Watch, mit dem die SAP das gleichnamigeSupport-Programm fahren kann, d.h. sie

gucken sich dann remote die Installation anund sagen, ob sie gut ist. Passwort ist sup-

port. Client steht bei SAP nicht fr User,sondern fr einen Parameter beimDatenbankzugriff. Normalerweise brauchtman eigentlich nur einen Client, aber wennman mchte, kann man auch einen weiteren

Client haben, der alle Daten extra herum-liegen hat (obwohl physikalisch in dergleichen Datenbank). Mit dem Extra-Clientkann man sich also theoretisch nur die client-unabhngigen Daten anschauen (das sind soSachen wie in welchem Tablespace liegt wel-che Tabelle).

Auf Oracle-Ebene:User Passwort

SYS CHANGE_ON_INSTALL

SYSTEM MANAGER

SAPR3 SAP

Auf R/3-Ebene:User Passwort

DDIC 19920706

SAP* 06071992

(6.7.1992 war das Datum der ersten R/3 Produktiv-

Installation)

Passwrter auf Systemebene werden bei derInstallation abgefragt.

[email protected]


13/32


Das Programm berechnet aus der 15-stelligen IMEI

(International Mobile Equipment Identifier) denwerksseitig eingestellten Sicherheitscode von Nokia-

Mobiltelefonen. Wenn bei einem Nokia-Telefon die

Sicherheitsstufe Telefon ausgew hlt ist, kann man

ohne den Sicheheitscode keine andere SIM-Karte

benutzen.

Der Algorithmus kann den Sicherheitscode fralle Gerte der Serien NHB, NHE und NHK

berechnen, d.h. fr entsprechende 20**, 21**, 31**,38** und 81**. Das funktioniert natrlich nur,

Nokia Security Code Generator

/ *

* security_code.c

* /

unsigned char data_1[] =

{ 0x17,0x2D,0x25,0x29,0x17,0x2D,0x11,0x20,0x12,0x27,0x0E,0x23,0x1B,0x0B,0x27 };

unsigned char data_2[] = { 2,6,9,4,9 };

unsigned char data_3[5][15] = {

{ 0x17,0x2C,0x43,0x0E,0x22,0x13,0x43,0x4D,0x59,0x16,0x22,0x4E,0x37,0x58,0x5C },

{ 0x4B,0x2D,0x5A,0x12,0x24,0x43,0x35,0x4A,0x47,0x36,0x13,0x17,0x53,0x24,0x13 },

{ 0x22,0x47,0x1D,0x4E,0x62,0x22,0x41,0x17,0x26,0x30,0x2C,0x57,0x38,0x36,0x12 },

{ 0x42,0x2E,0x18,0x2D,0x4E,0x20,0x0E,0x23,0x4A,0x60,0x47,0x25,0x30,0x39,0x3F },

{ 0x21,0x24,0x19,0x13,0x1A,0x25,0x1F,0x36,0x4F,0x20,0x2E,0x43,0x36,0x21,0x15 }

};unsigned char data_4[] = { 1, 5, 7, 6, 3 };

int security_code(char* imei, char* sec_code) {

int i,j;

unsigned char k;

char local_1[15];

if(strlen(imei) != 15)

return 0;

for(i = 0; i < 15; i++) {

local_1[i] = imei[i] - data_1[i];

}

for(i = 0; i < 5; i++) {

k = 0;

for(j = 0; j < 15; j++) {

k += (local_1[j] local_1[(j + data_2[i]) % 15]) * data_3[i][j];

}

k = (k + data_4[i]) % 10;

sec_code[i] = k + 0x30;

}

return 1;

}

main(int argc, char** argv) {

char sec_code[6];

security_code(argv[1], sec_code);

sec_code[5] = 0;

printf(%s\n, sec_code);

}

wenn der werksseitig eingestellte Code nicht

gendert wurde. Ansonsten bentigt man den10stelligen Mastercode, der brigens ebenfalls ausder IMEI berechnet wird und nicht nderbar ist.

Die IMEI kann man bei Nokia-Telefonen (undden meisten anderen GSM-Telefonen auch) mit*#06# abfragen. Auerdem steht sie in denmeisten Fllen auf dem Etikett auf der Rckseiteunter dem Akku.

[email protected] Code von [email protected]


14/32


CDU/CSU: Ulrich Adam, Peter Altmaier, Anneliese Augustin,

Jrgen Augustinowitz, Dietrich Austermann, Heinz-GnterBargfrede, Franz Peter Basten, Dr. Wolf Bauer, Brigitte

Baumeister, Meinrad Belle, Dr. Sabine Bergmann-Pohl, Hans-

Dirk Bierling, Dr. Joseph-Theodor Blank, Renate Blank, Dr.

Heribert Blens, Peter Bleser, Dr. Norbert Blm, Friedrich Bohl,

Dr. Maria Bhmer, Jochen Borchert, Wolfgang Brnsen

(Bnstrup), Wolfgang Bosbach, Dr. Wolfgang Btsch, Klaus

Brhmig, Rudolf Braun (Auerbach), Paul Breuer, Monika

Brudlewsky, Georg

Brunnhuber, Klaus Bhler

(Bruchsal), Hartmut Bttner

(Schnebeck), Dankward

Buwitt, Manfred Carstens

(Emstek), Peter Harry

Carstensen (Nordst), Wolfgang

Dehnel, Hubert Deittert, Albert

De, Renate Diemers, Wilhelm

Dietzel, Werner Drflinger,

Hansjrgen Doss, Dr. Alfred

Dregger, Maria Eichhorn,

Wolfgang Engelmann, Rainer

Eppelmann, Heinz Dieter Emann, Horst Eylmann, AnkeEymer, Ilse Falk, Jochen Feilcke, Ulf Fink, Dirk Fischer

(Hamburg), Leni Fischer (Unna), Klaus Francke (Hamburg),

Herbert Frankenhauser, Dr. Gerhard Friedrich, Erich G. Fritz,

Hans-Joachim Fuchtel, Michaela Geiger, Norbert Geis, Dr.

Heiner Geiler, Michael Glos, Wilma Glcklich, Dr. Reinhard

Ghner, Peter Gtz, Dr. Wolfgang Gtzer, Joachim Gres, Kurt-

Dieter Grill, Wolfgang Grbl, Hermann Grhe, Claus-Peter

Grotz, Manfred Grund, Horst Gnther (Duisburg), Carl-

Detlev Freiherr von Hamm, Gottfried Haschke (Grohenner),

Gerda Hasselfeldt, Otto Hauser (Esslingen), Hansgeorg

Hauser (Rednitzhemb), Klaus-Jrgen Hedrich, Helmut

Heiderich, Manfred Heise, Detlef Helling, Dr. Renate Hellwig,

Ernst Hinsken, Peter Hintze, Josef Hollerith, Elke Holzapfel,

Dr. Karl-Heinz Hornhues, Siegfried Hornung, Joachim

Hrster, Hubert Hppe, Peter Jacoby, Susanne Jaffke, Georg

Janovsky, Helmut Jawurek, Dr. Dionys Jobst, Dr.-Ing. Rainer

Jork, Michael Jung (Limburg), Ulrich Junghanns, Dr. Egon

Jttner, Dr. Harald Kahl, Bartholomus Kalb, Steffen

Kampeter, Dr.-Ing. Dietmar Kansy, Manfred Kanther, Irmgard

Karwatzki, Volker Kauder, Peter Keller, Eckart von Klaeden,

Dr. Bernd Klauner, Ulrich Klinkert, Dr. Helmut Kohl, Hans-Ulrich Khler (Hainspitz), Manfred Kolbe, Norbert

Knigshofen, Eva-Maria Kors, Hartmut Koschyk, Manfred

Koslowski, Thomas Kossendey, Rudolf Kraus, WolfgangKrause (Dessau), Andreas Krautscheid, Arnulf Kriedner,

Heinz-Jrgen Kronberg, Dr.-Ing. Paul Krger, Reiner

Krziskewitz, Dr. Hermann Kues, Werner Kuhn, Dr. Karl A.

Lamers (Heidelberg), Karl Lamers, Dr. Norbert Lammert,

Helmut Lamp, Armin Laschet, Herbert Lattmann, Dr. Paul

Laufs, Karl Josef Laumann, Vera Lengsfeld, Werner Lensing,

Christian Lenzer, Peter Letzgus, Editha Limbach, Walter Link

(Diepholz), Eduard Lintner, Dr.

Klaus W. Lippold (Offenbach),

Dr. Manfred Lischewski,

Wolfgang Lohmann

(Ldenscheid), Julius Louven,

Sigrun Lwisch, Heinrich

Lummer, Dr. Michael Luther,

Erich Maa (Wilhelmshaven),

Dr. Dietrich Mahlo, Erwin

Marschewski, Gnter Marten,

Dr. Martin Mayer

(Siegertsbrunn), Wolfgang

Meckelburg, Rudolf Meinl, Dr.

Michael Meister, Dr. Angela Merkel, Friedrich Merz, RudolfMeyer (Winsen), Hans Michelbach Meinolf Michels, Dr. Gerd

Mller, Elmar Mller, (Kirchheim), Engelbert Nelle, Bernd

Neumann (Bremen), Johannes Nitsch, Claudia Nolte, Dr. Rolf

Olderog, Friedhelm Ost, Eduard Oswald, Norbert Otto

(Erfurt), Dr. Gerhard Pselt, Dr. Peter Paziorek, Hans-Wilhelm

Pesch, Ulrich Petzold, Anton Pfeifer, Angelika Pfeiffer, Dr.

Gero Pfennig, Dr. Friedbert Pflger, Beatrix Philipp, Dr.

Winfried Pinger, Ronald Pofalla, Dr. Hermann Pohler,

Ruprecht Polenz, Marlies Pretzlaff, Dr. Albert Probst, Dr.

Bernd Protzner, Dieter Ptzhofen, Thomas Rachel, Hans

Raidel, Dr. Peter Ramsauer, Rolf Rau, Helmut Rauber, Peter

Rauen, Otto Regenspurger, Christa Reichard (Dresden), Klaus

Dieter, Reichardt (Mannh), Dr. Bertold Reinartz, Erika

Reinhardt, Hans-Peter Repnik, Roland Richter, Dr. Norbert

Rieder, Dr. Erich Riedl (Mnchen), Klaus Riegert, Dr. Heinz

Riesenhuber, Franz Romer, Hannelore Rnsch (Wiesbaden),

Heinrich-Wilhelm Ronshr, Dr. Klaus Rose, Kurt J.

Rossmanith, Adolf Roth (Gieen), Norbert Rttgen, Dr.

Christian Ruck, Volker Rhe, Dr. Jrgen Rttgers, Roland

Sauer (Stuttgart), Ortrun Schtzle, Dr. Wolfgang Schuble,

Hartmut Schauerte, Heinz Schemken, Karl-Heinz Scherhag,Gerhard Scheu, Norbert Schindler, Dietmar Schlee, Ulrich

Lauschangriff: Mit JA stimmten...Aus dem Plenarprotokoll der 214. Sitzung des Deutschen Bundestages vom 16.1.1998

Umgang frei nach a ltem Testam ent

Die hier genannten Bundestagsabgeordneten habengem altem Testament ihr Grundrecht auf die

Unversehrtheit der Wohnung bzw. ihre Privatsphreeingebt. (Vgl. Jesaja 8,10)

Abgesehen davon empehlt sich zur angemessenenBewutseinserweiterung im Wahljahr 1998 die

Lektre des vollstndigen Plenarprotokolls vom16. Januar 1998 im Bundestag:

http://www.bundestag.de/ftp/13214c.zip


15/32


Schmalz, Bernd Schmidbauer, Christian Schmidt (Frth), Dr.-

Ing. Joachim Schmidt (Halsbrcke), Andreas Schmidt

(Mlheim), Hans-Otto Schmiedeberg, Hans Peter Schmitz

(Baesweiler), Michael von Schmude, Birgit Schnieber-Jastram,

Dr. Rupert Scholz, Reinhard Freiherr von Schorlemer, Dr.

Erika Schuchardt, Wolfgang Schulhoff, Dr. Dieter Schulte

(Schwbisch Gmnd), Gerhard Schulz (Leipzig), FrederickSchulze (Sangerhausen), Diethard Schtze (Berlin), Clemens

Schwalbe, Dr. Christian Schwarz-Schilling, Wilhelm Josef

Sebastian Horst Seehofer, Marion Seib, Wilfried Seibel, Heinz-

Georg Seiffert, Rudolf Seiters, Johannes Selle, Bernd Siebert,

Jrgen Sikora, Johannes Singhammer, Brbel Sothmann,

Margarete Spte, Carl-Dieter Spranger, Wolfgang Steiger,

Erika Steinbach, Dr. Wolfgang Freiherr von Stetten, Dr.

Gerhard Stoltenberg,

Andreas Storm, Max

Straubinger, Matthus

Strebl, Michael Stbgen,

Egon Susset, Dr. Rita

Sssmuth, Michael

Teiser, Dr. Susanne Tiemann, Dr. Klaus Tpfer, Gottfried

Trger, Dr. Klaus-Dieter Uelhoff, Gunnar Uldall, Wolfgang

Vogt (Dren), Dr. Horst Waffenschmidt, Dr. Theodor Waigel,

Alois Graf von Waldburg-Zeil, Dr. Jrgen Warnke, Kersten

Wetzel, Hans-Otto Wilhelm (Mainz), Gert Willner Bernd, Wilz

Willy Wimmer (Neuss), Matthias Wissmann, Dr. Fritz

Wittmann, Dagmar Whrl, Michael Wonneberger, Elke

Wlng, Peter Kurt Wrzbach, Cornelia Yzer, WolfgangZeitlmann, Benno Zierer, Wolfgang Zller

SPD: Gerd Andres, Robert Antretter, Ernst Bahr, Doris

Barnett, Wolfgang Behrendt, Hans Berger, Friedhelm Julius

Beucher, Tilo Braune, Dr. Eberhard Brecht, Marion Caspers-

Merk, Wolf-Michael Catenhusen, Dr. Herta Dubler-Gmelin,

Karl Diller, Ludwig Eich, Peter Enders, Annette Fae, Lothar

Fischer (Homburg), Iris Follak, Norbert Formanski, Dagmar

Freitag, Anke Fuchs (Kln), Arne Fuhrmann, Monika

Ganseforth, Uwe Gllner, Gnter Graf (Friesoythe), Dieter

Grasedieck, Achim Gromann, Hans-Joachim Hacker, Klaus

Hagemann, Manfred Hampel, Alfred Hartenbach, Klaus

Hasenfratz, Dieter Heistermann, Reinhold Hemker, Rolf

Hempelmann, Dr. Barbara Hendricks, Stephan Hilsberg,

Gerd Hfer, Jelena Hoffmann (Chemnitz), Erwin Horn, Eike

Hovermann, Lothar Ibrgger, Wolfgang Ilte, Renate Jger,

Jann-Peter Janssen, Dr. Uwe Jens Volker Jung (Dsseldorf),

Sabine Kaspereit, Susanne Kastner, Hans-Peter Kemper,

Walter Kolbow, Fritz Rudolf Krper, Volker Krning, Thomas

Krger, Dr. Uwe Kster Werner Labsch, Klaus Lennartz, Dr.

Elke Leonhard, Klaus Lohmann (Witten), Dieter Maa(Herne), Winfried Mante, Christoph Matschie, Ingrid

Matthus-Maier, Markus Meckel, Dr. Jrgen Meyer (Ulm),

Ursula Mogg, Siegmar Mosdorf, Christian Mller (Zittau),

Gerhard Neumann (Gotha), Dr. Rolf Niese, Leyla Onur, Kurt

Palis, Dr. Willfried Penner, Dr. Eckhart Pick, Joachim Po,

Margot von Renesse, Reinhold Robbe, Gerhard Rbenknig,

Dieter Schanz, Rudolf Scharping, Bernd Scheelen, Siegfried

Schefer, Horst Schild, Otto Schily, Dieter Schloten, GnterSchluckebier, Wilhelm Schmidt (Salzgitter), Dr. Emil Schnell,

Walter Schler, Ottmar Schreiner, Dr. Mathias Schubert,

Richard Schuhmann (Delitzsch), Brigitte Schulte (Hameln),

Volkmar Schultz (Kln), Ilse Schumann, Dietmar Schtz

(Oldenburg), Ernst Schwanhold, Rolf Schwanitz, Bodo

Seidenthal, Johannes Singer, Dr. Cornelie Sonntag-Wolgast,

Wieland Sorge, Dr. Dietrich Sperling, Jrg-Otto Spiller, Dr.

Peter Struck, Joachim

Tappe, Jrg Tauss, Dr.

Gerald Thalheim,

Wolfgang Thierse, Hans-

Eberhard Urbaniak,

Siegfried Vergin, Gnter

Verheugen, Karsten D. Voigt (Frankfurt), Josef Vosen, Hans

Georg Wagner, Wolfgang Weiermann, Reinhard Weis

(Stendal), Gunter Weigerber, Jochen Welt, Lydia Westrich,

Helmut Wieczorek (Duisburg), Dieter Wiefelsptz, Verena

Wohlleben, Dr. Christoph Zpel, Peter Zumkley.

FDP: Ina Albowitz, Dr. Gisela Babel, Gnther Bredehorn, Jrg

van Essen, Dr. Olaf Feldmann, Paul K. Friedhoff, HorstFriedrich, Rainer Funke, Dr. Wolfgang Gerhardt, Joachim

Gnther (Plauen), Dr. Karlheinz Guttmacher, Dr. Helmut

Haussmann, Ulrich Heinrich, Walter Hirche, Dr. Werner

Hoyer, Ulrich Irmer, Dr. Klaus Kinkel, Detlef Kleinert

(Hannover), Roland Kohn, Dr. Heinrich L. Kolb, Dr.-Ing. Karl-

Hans Laermann, Uwe Lhr, Gnther Friedrich Nolting, Dr.

Rainer Ortleb, Lisa Peters, Dr. Gnter Rexrodt, Helmut

Schfer (Mainz), Cornelia Schmalz-Jacobsen, Dr. Edzard

Schmidt-Jortzig, Dr. Hermann Otto Solms, Carl-Ludwig

Thiele, Dr. Dieter Thomae, Dr. Wolfgang Weng (Gerlingen),

Dr. Guido Westerwelle.

Grundgesetz Artikel 20

Grundstze des deutschen Staates:

(4) Gegen jeden, der es unternimmt, diese Ordnung zubeseitigen, haben alle Deutschen das Recht zum Widerstand,

wenn andere Abhilfe nicht mglich ist.


16/32


Chaos Rea lit ts Dienst: Kurzm eldungen

EU plant Entschlsselungsverbot

Als Folge des massiven Lobbyings der Pay-TVIndustrie liegt in der europischen Union zur Zeiteine Gesetzesvorlage zur Abstimmung, die nichtnur den Vertrieb illegaler Pay-TV Dekoder unterStrafen stellen soll, sondern auch die Benutzungund - viel schwerwiegender - die Verbreitung ofany private exchange of information about thesecurity properties. Damit wrden etlicheNewsgroups, Mailinglists und der freieInformationsaustausch zu Sicherheitsverfahrenstark eingeschrnkt. Detail auf:http://www.cl.cam.ac.uk/~mgk25/ca-law/

Fernwrgen

(crd/15.01.98) Laut Agenturberichten rgertein Funkpirat an der niederlndsichen AutobahnA 15 bei Gorkum Kunden und Mitarbeiter einesMc Drives.

Wenn ein Kunde mit seinem Auto vorfhrt

und ber die Sprechanlage seine Bestellungaufgibt, schaltet sich pltzlich der Unbekannteein. Er sagt dann zum Beispiel: Nein halt, dochkeinen Hamburger, sondern Pommes und einMilkshake, berichtete am Donnerstag einer derMitarbeiter. Und der Kunde bekommt dannetwas ganz anderes, als er bestellt hat.

Der Funker ist nun schon seit ber einemMonat aktiv. Zum Verrcktwerden, nden dieTelefonistinnen, die die Bestellungenentgegennehmen. Wenn sich der Qulgeist nicht

durch vernderte Frequenzen fr dieSprechanlage abschtteln lt, will derBetriebsmanager Anzeige erstatten.

[email protected]

Proprietre Scheie bei CD-Writern

Phillips und Pioneer Audio-CD-Writer bespielennormalerweise nur (berteuerte) CD-Rohlinge der

eigenen Firma. Hier kann man sich jedoch auchgnstiger behelfen: Man ffne den Recorder, lege

eine CD vom Hersteller ein, warte ein paar

Sekunden und suche dann einen Resetknopf imInneren des Gerts. Nach Druck auf denResetknopf springt die Schublade auf und derRohling kann durch einen billigen ersetzt werden.Der CD-Writer behlt die Daten des teurerenRohlings gespeichert und macht somit keineProbleme.

(Ohne Gewhr - wir konnten es nicht testen!)

[email protected]

DF1 umsonst ?!Gerchten aus der Chaos-Voicemailbox zufolge strahltDF1 eine Kartensperre nur fr 5-6 Monate aus. Dieswrde bedeuten, wenn man nach ein paar MonatenDF1 mit Gebhr die Karte kndigt und sofort aus demDecoder (D-box) entfernt, 5-6 Monate im Schrankliegen lt, und die Karte dann wieder einsetzt, wrdeman DF1 kostenlos sehen knnen. Ebenfalls kostenloskann man alle d-box-Programme mit einer

Hndlerkarte sehen. Aus diesem Grund sollen inHamburg bereits mehrere aus nicht verschlossenen (!)Schubladen gestohlen worden sein.

[email protected]

Netscape hilfe Microsoft Kunden, den

Explorer zu lschen

Laut einer Reuters Meldung vom 18. Dezember

bietet Netscape Kunden mit Microsoft-Plattformdie Mglichkeit, automatisch Netscape zuinstallieren und den Microsoft-Internet Explorerzu lschen.

Ob Sie dazu die Active-X Technologiebenutzen wollen, wurde nicht bekannt.

Chip-Implantat fr britische Brger

Laut einer Newsbytes Meldung vom 02. Januar1998 will die britische Regierung in Krze alle


17/32


nachvollzogen werden konnten. Dem Tter

wurde vom Richter offenbar strafmildernd dieEntwicklung eines Omnipotenzgefhls amComputer besttigt.

Wutet Ihr schon ?

...da ein nicht unerheblicher Teil des BKA-internen Netzwerkes von der Fa. Debis betriebenwird?

...da das Bundesamt fr die Anerkennungauslndischer Flchtlinge diese mit EDIverarbeitet?

...da das Blacklisting bei GSM wirklich nurein Blacklisting ist?

...da man einen Geldautomaten ofinebekommt, indem man in einer nahegelegenenTelefonzelle den Telefonhrer an einen

Kuhzaungenerator anschliet? Die OvSt fhrtdann offenbar wegen Blitzeinschlag runter.

...da deswegen mitunter auch von digitalenCowboys die Rede ist?!

Information Input: [email protected]

Brger mit einer Chipkarte versehen. Die

citizens smart card soll als Interface zwischenBrger und Regierung das Zahlen von Steuern,Versicherung neben Pafunktion und Einholungvon Sozialhilfe erlauben.

Die Idee hinter der Smart Card ist laut demBritischen Minister fr ffentlichen Service isthat people will be able to use the card to identifythemselves to the various government computers,all of which will be interlinked with each other.

Die in erster Linie aus nanziellen Grndeneingefhrte Karte wird zunchst mit einem PINCode zu benutzen sein und soll spter mit

biometrischen Merkmalen gekoppelt werden.

Transparenzkriminalitt

Laut einer Reuters-Meldung vom 05. Januar 1998wurde die Japanische Sakura Bank in Tokiokrzlich opfer von cyber-criminals. Als Folgengingen 37 ausgesuchte der 20.000 abgesaugten

Kundendateien einer Mailinglist zu.

Erpresser stolpert ber Echelon-

System?!

Ende Januar wurde der Hamburger Flughafen-erpresser, ein 25jhriger Bankkaufmann zudreieinhalb Jahren Gefngniss verurteilt. DasGericht ging von einem minderschweren Fall aus,da er lediglich gedroht habe mit Sprengstoff

belandenen ferngesteuernten Modellugzeugenin die Triebwerke von startenden Maschinen zuiegen. Der 25jhrige hatte gestanden damitinsgesamt 53,3 Millionen Mark erpresst haben zuwollen.

Der Erpresser hatte versucht, anonym berdas Internet seine Lsegeldforderungen undDrohbriefe zu bermitteln, die Details seinerVorgehensweise wurden jedoch nichtverffentlich. Bekannt ist, da etliche Internet

Service-Provider hier bei den Ermittlungenhalfen, nachdem Teile des Kommunikationsweges


18/32


geschtzt, das etwas komplizierter als der eigene

Name, der Name (Kosename) der Frau oder desMannes, oder das eigene Geburtsdatum ist? Oftwird auch der Inhalt der gespeicherten Daten imHinblick auf das Erfordernis der Datensicherungunterschtzt. Schwer vorstellbar, welchesInteresse Dritte zu Zeiten des Fernmelde-monopols an den Interna der Deutschen Telekomgehabt haben sollten.

Mit der ffnung des Marktes und dem Eintrittin den Wettbewerb ist es jedoch mehr denn jeerforderlich, maximale Sicherheit zu gewhr-leisten. Hierzu reicht eine Verbesserung derTechnik allein nicht aus. Die Mitarbeiterinnenund Mitarbeiter, die mit dieser Technik arbeiten,mssen sich der besonderen Risiken undAnforderungen in diesem Bereich bewut sein.

Die Sensibilisierung fr Sicherheitsfragen undeine entsprechende Weiterbildung ist einewichtige Manahme fr die Beschftigten zurVerhinderung des Mibrauchs von Informationenund TK-Netzen und damit zur Abwendung eines

hierdurch entstehenden wirtschaftlichenSchadens. Eine solche Sensibilisierung fhrt auchdazu, da die bestehenden gesetzlichenVerpichtungen, nmlich die Wahrung desFernmeldegeheimnisses und des Datenschutzes,erfllt werden.

Durch das Zentrum fr Netzsicherheit wurdein enger Zusammenarbeit mit der Weiterbildungeine Seminarreihe entwickelt, die den TitelAktion Sicheres Netz trgt. Die Schulungen sol-len bei den Beschftigten ein Bewutsein fr das

Thema Sicherheit nicht nur im Bezug auf dieNetztechnik, sondern auch im Hinblick auf denverantwortungsvollen Umgang mit telekom-internen Informationen am eigenen Arbeitsplatzschaffen.

In einer ersten Seminarreihe, die wirPilotmanahme Aktion sicheres Netz genannthaben, wurden Verhaltenstrainerinnen und -trainer der Bildungszentren in einem sog. trainthe trainer geschult. Dabei wurde diesem

Personenkreis vertiefte Kenntnisse vermittelt, u.a.

Chaos Communication Congress 97Auswahl von Berichten vom 14. Chaos Communication Congress, 27.-29.12.1997 Hamburg Eidelstedt

Die Texte stellen eine Auswahl aus der Congress-

Dokumentation des 14. Chaos Communication Congressdar, der vom 27.-29. Dezember 1997 mit rund tausend

Teilnehmern in Hamburg tagte. Die vollstndige

Dokumentation ist hoffentlich sehr bald schriftlich beim

Chaos-Versand in Hamburg erhltlich. Die elektronisch

vorliegenden Texte fi ndet ihr unter http:/ / presse.ccc.de

Sicherheit bei der Deutschen Telekom

als Wettbewerbsfaktor

Referent: Jrgen Haag, Deutsche Telekom AG

Die Sensibilisierung des Personals frSicherheitsbelange als eine Aufgabe des Zentrumfr Netzsicherheit.

Die Gewhrleistung der Sicherheit von Datenund Telekommunikation ist auf der einen Seiteeine eindeutig technische Aufgabe. Da Sicherheithohe Prioritt geniet, ist die Kostenfrage bei

technischen Lsungsanstzen meist zweitrangig.Sicherheit ist aber auf der anderen Seite auch

eine Frage des Verhaltens der Mitarbeiterinnenund Mitarbeiter. Nur wenn beide Faktorenzusammenwirken, ist der gewnschte Erfolg zuerzielen.

Unseren Kunden ist es letztlich gleichgltig, obSicherheitslcken aufgrund technischen odermenschlichen Versagens entstehen. Fr sie ist nurdas - in diesem Falle meist negative - Ergebnisvon Interesse.

Viele technische Lsungen sind nur dann wirk-sam, wenn sie vom Mitarbeiter als festeBestandteile des Arbeitsalltags akzeptiert undauch tatschlich angewendet werden. Hugndet sich jedoch die Einstellung, die technischenSicherungsmanahmen reichten allein schon aus,um Eingriffe Unbefugter zu verhindern.Alltgliches Beispiel: Daten auf Einzelplatz-rechnern knnen mit verschiedenen und fastimmer vorhandenen Manahmen gesichert

werden. Doch wessen PC ist tatschlichverschlossen und mittels eine Pawortes


19/32


auch die Information, wie andere Firmen mit dem

Thema Sicherheit umgehen.Diese Verhaltenstrainerinnen und -trainer

geben ihr Wissen direkt an ca. 5000 Krfte mitFhrungsfunktionen des UnternehmensbereichsTN weiter. Die Schulungen dauern 2 Tage, andenen durch Gruppenarbeiten und Rollenspieleein sicherheitsbewutes Verhalten eingebt wird.Aus didaktischer Sicht reicht ein Vortrag bzw.Frontalunterricht nicht aus, um tatschlich eineVerhaltensnderung zu erzielen. Die eigenenfehlerhaften Verhaltensweisen mssen erkanntund sicherheitsbewutes Verhalten eingebtwerden.

Diese ca. 5000 Fhrungskrfte erhalten denAuftrag, das erlernte Wissen in ihremVerantwortungsbereich weiterzuvermitteln undumzusetzen. Fr die Weitervermittlung werdendie Fhrungskrfte mit Schulungsmaterial(Leitfaden, Video, Folien etc.) ausgestattet. DasSchulungsmaterial (Koffer) ist professionellerstellt worden und bercksichtigt didaktische

und pdagogische Elemente.Die geschulten Fhrungskrfte werden somit

in die Lage versetzt, die selbsterfahrene Schulungan ihren Mitarbeitern und Mitarbeiterinnenweiterzugeben.

Vorstellung des Inhalts des Schulungskoffers:1. Seminarunterlagen Beinhalten a. ein

didaktisches Konzept fr denDienstunterricht b. eine vertiefendeDarstellung der 10 Sicherheitsregeln mit

Beispielen aus der Praxis der einzelnenZielgruppen c. Anleitungen fr Einzel- undGruppenarbeiten und Rollenspiele - bungder Sicherheitsregeln. - Sicherheitsmngel inmeinem eigenen Arbeitsumfeld. - Wie kannich die Sicherheitsregeln an meinemArbeitsplatz anwenden?

2. Plakate Diese dienen als Hinweis fr dieSchulungsveranstaltung

3. Video: a. Einfhrende Rede unseres VTN

Gerd Tenzer. b. Sind MeinungenTatsachen?, Darstellung der Deutschen

Telekom im Deutschen Fernsehen. c. Ein Tag

wie jeder andere. Spiellm, der einen Tag beider Deutschen Telekom beschreibt. Mit mgli-chen Sicherheitslcken und derenBewltigung durch die Mitarbeiter/innen.

4. Folien5. Diskette (Powerpoint)6. Broschre (zur Weitergabe an die

Mitarbeiter/innen)

Ziel ist es, alle TN-Mitarbeiter und Mitarbei-terinnen - insgesamt ca. 70.000 Beschftigte - inSicherheitsfragen zu unterweisen. Der zu ver-mittelnde Inhalt besteht zunchst aus einemberblick, was unter dem Begriff Sicherheitverstanden wird. Des weiteren soll verdeutlichtwerden, wer von dem Wissen der Beschftigtender Deutschen Telekom protiert. Es sollaufgezeigt werden, welche Bedeutung Sicherheitals Wettbewerbsfaktor hat.

Kernstck dieser Aktion Sicheres Netz sind diefolgenden Punkte, die grifgerweise in 10

Sicherheitsregeln gefat worden sind. Dieselauten:

1. Sie wissen mehr als Sie glaubeno Wissen kann mosaikartig zusammengesetzt

werden.o Unbedachte uerungen liefern wichtige

betriebliche Informationen.o Viele sagen, ich wei ohnehin nichts.o Mein Wissen ist doch allgemein bekannt.o Negativhinweise geben Hinweise auf

Schwachstellen. Auch die Informationenknnen fr Wettbewerber ntzlich sein.

2. Die Konkurrenz hat ein waches Augeo Keine Interna an Wettbewerber.o Besondere Achtsamkeit bei ehemaligen

Kollegen, die jetzt z.B. beim Konkurrententtig sind.

o Bei Planungsverfahren nur dieInformationen weitergeben, die wirklich

bentigt werden.

...Sicherheit bei der Telekom...


20/32


o Geplante Leistungsmerkmale mit

Einfhrungsterminen und Zeitschienen.o Telefonverzeichnisse u.s.w. sind ebenfalls

fr die Konkurrenz sehr interessant.

3. Informationen sind unser Kapitalo Smtliche Vertragsunterlagen geben tiefgrei-

fende Einblicke.o Sensible Informationen ob auf Papier

oder Diskette oder dem Laptop nicht imAuto liegen lassen.

o Geplante Netzknotenstandorte sind frWettbewerber sehr wichtig, denn sieverraten die Netzstrategiekonzepte derDeutschen Telekom. Mit diesenInformationen knnen WettbewerberEinblicke in die Marktstrategie gewinnenund die eigene Planung darauf abstimmen.

o Datentrger jeder Art (Disketten, Bnder,MO-Disk, etc.) sind immer an sicheren undnicht frei zugnglichen Orten zu verwahren.o Keine Standleitungen unter Unix oder

Windows offen stehen lassen; Daten-piraterie.

4. Erst sind die Daten weg, dann der Kundeo Gebhrendaten (Kommunikationsdaten-

stze) sind besonders sorgfltig zubehandeln.

o Es ist sicherzustellen, da solche Datennicht manipuliert werden

o Auch der Umgang mit statistischemMaterial ber Verbindungsdaten,

o Verkehrsaufkommen und Anschlsse mumit groer Vorsicht erfolgen.

5. Wenn Sie ein Auge zudrcken, entgeht Ihnenmanches

o Bei Kundenantrgen auf ungewhnlicheUmstnde achten. 100 Anschlsse in 30 m2Raum.

o Aufflliges Verhalten von Kollegen, arbeitetam Rechner unter einer anderen als der

eigenen Kennung, liest fremde Korres-pondenz.

o Wahrgenommene Sicherheitsschwachstellen

oder ungewhnliche Vorkommnisse in derUmgebung nicht einfach ignorieren,sondern den Vorgesetzten daraufansprechen.

o Kundenreklamationen ernstnehmen undauf mgliche Manipulationen hinauswerten.

6. Ein Pawort ist keine stille Posto Das Pawort dient dazu, da der Bediener

sich im System eindeutig indentiziert.o Nicht aus Bequemlichkeit jemandem das

eigene Pawort mitteilen. Keine einfachenPawrter benutzen.

o Am besten ein Pawort mit Buchstaben,Zahlen und Sonderzeichen. Mglichst nichtnotieren.

7. Vorsicht beim Telefonieren - manchmal hrenmehr Leute zu, als Sie denken

o Telefonische Auskunftsersuchen Fremder

mit Skepsis begegnen. Offen herumstehen-de Anrufbeantworter sind ein Gefahren-potential. Beim Weiterschalten einesGespchs darauf achten, da keiner mehr inder Leitung ist.

o Bei vertraulichen Telefonaten, die Trenschlieen.

8. Ihr Papierkorb kann redeno Beim Versenden von E-Mails, Vorsicht bei

der Adreeingabe.

o Wichtige Dokumente gehren nicht in denPapierkorb.

o Faxen ber Kurzwahltaste. Vorsicht!o Protokolle ber den Ein- und Ausgang von

rechtsverbindlichen Faxen fhren.

9. Offene Tren und Fenster laden ungebeteneGste ein

o Bros beim Verlassen verschlieen.o Verlust von Schlsseln ist sofort dem

Ressortleiter zu melden.



21/32


o Nach Dienstschlu Kontrolle durchfhren,

ob tatschlich alle Rume und Fensterverschlossen sind.

10. Fragen Sie Fremde, wo sie hinwolleno Generell gilt der Grundsatz: Fremde sollen

nicht ohne Begleitung durch das Hausgehen. Dies ist bei Kunden wie auchunbekannten Kollegen einzuhalten.

o Fremde Personen, die sich alleine im Gangaufhalten fragen, wo sie hinwollen unddann begleiten.

o Ganz besonders in Technikrumen sindFremde unbedingt anzusprechen.

Diese 10 Sicherheitsregeln sollen in Rollenspieleneingebt werden. Des weiteren soll der einzelneausfhren, wie er die Sicherheitsregeln an seinemArbeitsplatz anwenden kann.

Hinweise auf Sicherheitsmngel oder auchVorschlge knnen an das ZfN weitergegebenwerden.

Evtl. mgen einzelne Regelungen fr einzelneBereiche berzogen wirken. Doch auch bei derSensibilisierung der Mitarbeiter gilt, da mit

gesundem Menschenverstand gearbeitet werden

mu. Nicht alle Verhaltensweisen sind fr alleBereiche gleich verbindlich. Das eigene Know-how sollte jedoch auf keinem Fall unterschtztwerden.

Die oben aufgefhrten Regeln tragen dazu bei,da das Sicherheitsbewutsein der Beschftigtensteigt und damit das Vertrauen der Kunden in dieDeutsche Telekom erhalten bleibt. Sicherheits-pannen bzw. -lcken mssen mglichstvermieden werden. Der wirtschaftliche Schadendurch sie ist immens. Nur wenn der KundeVertrauen in die Sicherheit seiner Daten und derTelekommunikation hat, werden neue Dienste derDeutschen Telekom auch angenommen. Doch wie

bereits oben ausgefhrt: Sicherheit kann es nurgeben, wenn die Technik sichere Lsungen bietetund die Mitarbeiter und Mitarbeiterinnen, die mitdieser Technik arbeiten, sich dieser besonderenRisiken und Anforderungen bewut sind und ent-sprechend verhalten.

Die Aktion Sicheres Netz ist eine ersteManahme, der noch weitere folgen sollen, umkontinuierlich einen hohen Stand anSicherheitsbewutsein zu halten. Mit einer hohenSicherheit erzielt die Deutsche Telekom einenentscheidenden Erfolgsfaktor im knftigenWettbewerb.

Einfhrung in Theorie und Praxis:

Verschlsselungsalgorithmen und

Implementationen

Referenten: Andreas Bogk, Lutz Donnerhacke

Versteckt vermittelte geheime Nachrichtensind so alt wie die Menschheit. Sklavenwurden Mitteilungen auf den gescherten Kopfttowiert und sie gingen mit dichtem Haarwuchsauf die Reise. Der Empfnger scherte die Haare

wieder ab und brauchte danach nur noch den

...Telekom / Einfhrung in Verschlsselung...


22/32



Sklaven zu kpfen, um hchste Geheimhaltung

zu gewhrleisten.Csar soll im rmischen Reich den Csar

Cypher erfunden haben, bekannt als ROT 13,wonach alle Buchstaben eines Textes um 13Stellen weiter im Alphabet verschoben werden (fb

jvr va qvrfrz Orvfcvry). Diese Verfahrenverndern nur das Erscheinungsbild eines Textes,Eigenschaften bleiben dagegen erhalten. So ist derBuchstabe e das hugste Zeichen indeutschsprachigen Texten - der Ausgangspunktzum Buchstabenraten.

Mit den Kriegen stiegen auch die Ansprche:Neue Verfahren wurden entwickelt und alteVerfahren wurden komplexer. Die Enigma(Verschlsselungsmaschine der deutschenWehrmacht im zweiten Weltkrieg) arbeit mitsieben sich gegeneinander verschiebendeScheiben die ihre Position nach jedem Zeichenndern. Ein nnischer Mathematiker erkannte,da trotz dieses Aufwandes nur dasErscheinungsbild des Originaltextes verndert

wurde. Mit erheblichem Aufwand konnten dieNachrichten nun mitgelesen werden.

Auguste Kerckhoffs beschreibt dieVoraussetzungen fr eine sichere Verschlsselungfolgendermaen: Ein Verfahren ist dann sicher,wenn man es nicht knacken kann, obwohl manden Code kennt.

Struktur des modernenVerschlsselungsalgorithmus

Die Nachricht wird mit einem Schlsselverschlsselt. Der entstandene verschlsselte Textwird nun sicher verschickt und vom Empfngerentschlsselt. Der Schlssel mu natrlich aufeinem sicheren Weg bermittelt werden.

Wenn der Empfnger einen anderen Schlsselals der Absender benutzt, kann der Schlssel-austausch entfallen. Moderne Verschlsselungs-algorithmen sind z.B. IDEA oder DES. DieAnwendung und Kombination von Algorithmen

ergeben dann die Verschlsselungsprotokolle, mitdenen man im Alltag zu tun hat. Moderne

Verschlsselungsprotokolle sind z.B. PGP oder S-

MIME.

Was passiert beim Verschlsseln?

Unterschieden wird zwischen Stream-Verschlsselung und Block-Verschlsselung.Stream-Verschlsselung (Stream-Cypher)

Bei der Stream-Verschlsselung wird dieNachricht byteweise, manchmal sogar bitweiseverschlsselt. Die Encryption-Engine liefertZahlenfolgen die mit den Datenstrom per XORverrechnet werden. die Encryption-Engine

benutzt dazu z.B. den Key und einen (Pseudo-)Zufallszahlengenerator. Ein Pseudo-Zufalls-zahlengenerator (linearer kongruenter Generator)erzeugt Zahlenfolgen fr den Hausgebrauch. DieWahrscheinlichkeit der Zahlenfolgen ist voraus-sagbar. Ein echter Zufallszahlengenerator

benutzt eine natrliche Zufallsquelle (z.B.Zhlung des radioaktiven Zerfalls einesElements).

Block-Verschlsselung

Arbeitet mit denierten Blcken (z.B. 1 Block =256 Byte). Das bietet den Vorteil effektivernachvollziehbare Wiederholungen durch dieVerschlsselung zu vermeiden. Nach der erstenVerschlsselung nden dann noch weitereVerschlsselungen statt. Rckkopplungen undVerknpfung mit anderen Blcken erzeugen kom-plexere verschlsselte Texte (z.B. mit Block-

Shiften).

Angriffsvarianten auf verschlsselte Daten

Nachdem man den bevorzugten Ort dereigenen Wahl gefunden hat, um die Daten zu

bekommen, steht die Wahl der erfolgreichstenAttacke.


23/32

2. adaptive-chosen-plaintext - Dem Computeram anderen Ende ist es egal, wie oft ichmeine falschen Entschlsselungen an ihmausteste.

Gummiknppel-Attacke

Bei der Gummiknppel-Attacke geht man davonaus, da mich die verschlsselten Daten erwarten.So benden sich auf einer Festplatte mehrereDateisysteme die sich gegenseitig nicht kennen.Entschlssele ich nun ein Dateisystem und greifedarauf zu, erkennt es den Rest der Festplatte alsungenutzt an und belegt sie. Die anderenDateisysteme werden dadurch gelscht.

Brute-Force-Attacke

Der simpelste Angriff - ich probiere alleMglichkeiten durch. Im Zeitalter der krebsartigwachsenden Computerkapazitten ist brute-forceinzwischen eine zeitsparende Variante. InKombination mit anderen Attacken lt sich derWeg zu den Originaldaten schnell eingrenzen.

Text: Mo Hataj


Cyphertext ist vorhanden

Die schwierigste Ausgangssituation fr eineEntschlsselung sind nur die verschlsselten

Daten vorhanden. ber deren Inhalt ist nichtsbekannt. Die ganze Vielfalt der Entschlsselungs-palette, von geschicktem Raten bis zur Hug-keitsanalyse, kann nun darauf angewendetwerden, ohne da eine Verfahren schneller zumErfolg fhrt als ein anderes.

Known-Plaintext-Attack

Von den verschlsselten Daten sind Teile bekannt,wie z.B. feste Gruformeln in Briefen oder

Dateiheader in Computerdaten. VerschlsseltenFisch erkennt man z.B. schnell am Geruch.

Chosen-Plaintext-Attack

Hier unterscheidet man zwischen denberprfungsmglichkeiten seiner Ergebnisse:

1. Eine einzige berprfungsmglichkeit - beimBenutzen der Erkenntnisse aus den entschls-selten Daten sitzt am anderen Ende z.B. der

andere Geheimdienst und ein Fehler flltsofort auf.

...Einfhrung in Verschlsselung


24/32


Open Source Processing

Geheimdienst zum Selbermachen

Referent: Frank Rieger

Der Begriff Open Source Processing lt sicham einfachsten mit Verarbeitung von Daten,die ffentlich zugnglich sind beschreiben. Dabeientstehen erst durch eine sinnvolle Filterung undAufbereitung Informationen. Werden Informatio-nen so weit aufbereitet, da sie entscheidungs-relevant werden, kann man von Botschaften oderenglisch von Intelligence sprechen. Geht man vonden einzelnen Daten aus, so lt sich durch 7 W-Fragen (Wer?, Was?, Wann?, Wo?, Mit wem?,Warum? und Womit?) ein Ereignis ziemlich exakt

beschreiben (der Referent, in der ehemaligenDDR aufgewachsen, sprach von den 7 Stasi-Fragen). Dabei knnen die verschiedenstenFormen von Open Sources genutzt werden, z.B.Bibliotheken, deklassizierte Daten, Zeitschriften

und Zeitungen, kommerzielle Informations-dienste und Datenbanken, CD-ROMs und dasInternet.

Diese Informationsquellen werden nicht nurvon Privatleuten genutzt; so ziehen z.B. dieGeheimdienste ca. 80% Ihrer Informationen ausoffenen Quellen. Diese werden dannweiterbearbeitet, und erst durch den Gewinn anInformationsinhalt gehren sie dann zu denGeheimdaten. Man geht davon aus, da dergrte Teil der Geheiminformationen der

Geheimdienste aus Zeitungsausschnitt-sammlungen besteht. Altbundeskanzler Schmidthielt die Neue Zrcher Zeitung fr aktueller undakurater als BND-Lageinformationen, wie FrankRieger meinte.

Durch den rapiden Preisverfall beiComputerleistung und Speichermedien ist es jetztauch jedem Privatmenschen mglich, eine groeMenge an Daten zusammenzufhren und nachpersnlich relevanten Kriterien zu verarbeiten,

dabei fat eine 4 GB-Platte eine Volltext-Datenbank von 1 Million Seiten.

Eine mgliche Anwendung hierzu wurde am

Rechner demonstriert, indem die Daten der CD-ROM D-Info mit denen der CD Gewut wo!,einem Branchenverzeichnis fr bestimmteGrorume, in diesem Fall die Stadt Berlin,zusammengefhrt wurden und so zu jederBerliner Adresse eine geographische Koordinateermittelt wurde. Aus den 1,3 MillionenTelefonteilnehmern Berlins konnte so eintelefonischer Stadtplan erstellt werden, in demdie verschiedensten Suchen mglich sind: Telefonvermittlungsstellenbezirke die Bevlkerungsdichte, bzw. bei bekannter

Bevlkerungdichte schlechter situierteRandgebiete

Stadtviertel mit einem hohen Auslnderanteil(Suche nach auslndischenVornamen/Namen)

wenig besiedelte Gebiete mit einem hohenAnteil an Frauen als Telefonanschluinha-

berinnen Standorte fr Existenzgrndungen

Suchen nach nicht-gelisteten Telefon-nummern, dabei ist eine Eingrenzung aufwenige Straen ist meist mglich, in


interhemd nerdwear

http://interhemd.prinz.org

Anzeige


25/32


Open Source Processing

lndlichen Gebieten manchmal sogar eine

Eingrenzung auf das einzelne Haus...

Eine Verknpfung mit weiteren Datenquellen(Newsgroups, Homepages mit Foto, T-Online-Kennung) ermglicht zu identizierten Personendann eine Erstellung eines Personenprols. Wennman verschieden alte Daten miteinandervergleicht, kann man mit verschiedenenAusgaben der D-Info z.B. schon Aussagen berMigrationen und Vernderungen der sozialenStruktur erhalten.

Fr die persnliche Nutzung kann man sichzum Beispiel im Internet umschauen, wo maneher das Problem hat, da die Informationsmengezu gro ist und sie nur mit groem Aufwand aufein sinnvolles Ma reduziert werden kann. Mankann problemlos personenbezogene Informatio-nen, Produkt- oder Firmen-Informationen

beschaffen. Einige Internet-Dienste bieten auchInformationsprocessing an, so liefert z.B.Paperboy automatisch generierte Pressespiegel

des Tages und deckt dabei 90% der deutschenZeitungen ab.

Sucht man Informationen ber Personen undderen Interessensgebiete, so hilft eine Abfrage beiDeja News. Wenn man auf komerzielleDatenbanken oder Informationsdienste zugreift,so hat man meist eine geradezu kryptischeBenutzeroberche und zahlt gelegentlich gutesGeld fr Informationen, die anderswo kostenloserhltlich sind. Auerdem geht man hier dasRisiko ein, da die Abfragen in Abfrageprolen

ausgewertet werden.Bei allen Informationen, die man sich

beschafft, hat man aber immer gewisse Probleme,und zwar zunchst die Bewertung derGlaubwrdigkeit: Ist die Quelle bekannt? Gab es aus dieser Quelle schon

Fehlinformationen? Besteht die Gefahr einer gezielten

Desinformation?

Wie sind die Eigentums- undEinuverhltnisse bei der Quelle?

Wie aktuell sind die Daten (gerade CD-ROMs

sind oft schon veraltet, wenn sie auf demMarkt sind)?

Hat man parallele Quellen zur berprfung? Sind die Daten vollstndig?

Bei der Archivierung der Daten kommen danndie nchsten Probleme: Die Datenmengen undInformationsvielfalt macht kooperatives Arbeitenmehrerer Personen notwendig. Eine sinnviolleIndexierung ist schwierig; die Informations-qualitt lt sich nicht aus der Anzahl derverwendeten Quellen ableiten. Der Flu derAufbereitung (Data -> Information ->Intelligence) mu beherrscht werden.

Insgesamt wurde gezeigt, da sich heutzutagesehr genaue Informationssammlungen auch vonPrivatleuten mit vertretbar geringem Aufwanderzeugen lassen. Deshalb mu man auch mitseinen eigenen Daten entsprechend bewutumgehen, da Firmen die verfgbarenInformationsquellen in jedem Fall auswerten -ganz zu schweigen von den Geheimdiensten.

Text: Derk Marko Reckel


26/32


und dem fr Endverbraucher gedachten

Basisanschlu: Euro/USA/Japan: 2 B-Kanle(64 kBit, USA 56 kBit), 1 D-Kanal (64kBit,USA 56 kBit), 1 S-Kanal (16kBit)

(B-Kanal: Gesprchskanal, Kommunikation derTeilnehmer D-Kanal: Kommunikation der Gerte)

Die Abfolge der Daten im D-Kanal wird dabei ineinem 7-Schichtenmodell codiert, wobei die

denierten Schichten 4, 5 und 6 meist nichtverwendet werden.

ISDN Schichtenaufbau Referenzmodell der ISO7. Schicht: Anwendung

(6. Schicht: Darstellung)(5. Schicht: Sitzung)(4. Schicht: Transport)3. Schicht: Vermittlung, Zeichengabeinformation,

Protokollkennung, Referenzverwaltung2. Schicht: Sicherungsschicht und quittierteNachrichtenbermittlung1. Schicht: Bitbertragungsschicht (physikalischeSignalbertragung)

Fr die 3. Schicht gibt es je nach Landunterschiedliche Protokoll-Normen, auch beimEuro-ISDN gibt es lnderspezische Unterschiedeim Leistungsumfang (Rckruf bei besetzt,Rufnummernbermittlung und Gebhren-

bermittlung sind nicht in allen Lndernverfgbar).


ISDN fr Anfnger

Protokolle und Netzfunktionen

Referent: Hartmut Schrder

Zunchst zur analogen Telefonie: In deranalogen Telefonie werden Sprache oderDaten durch sinusfrmig modulierte Frequenz-nderun-gen in der Leitungsspannungbertragen. Dabei entstehen einige Probleme, z.B.:

die Parallelschaltung der Endgerteerzeugt ein Echo, das man hrt, bzw. dasein Datensender auch wieder empfngt

bei einer bertragung ber eine gewisseDistanz ist eine ein- oder mehrmaligeVerstrkung des Signals ntig, wodurcheine Verschlechterung der Qualitt eintritt

In der digitalen Telefonie wird derSpannungswert der Modulation in Zeittakten

abgetastet (8000 Hz), es wird ein Zahlenwerterzeugt, der an die Gegenstelle bermitteltwird. Die Gegenstelle stellt dann dieSpannungshhen aus den Zahlenwerten wiederher und glttet sie zu einer Kurve.

Durch die digitale bertragung als 0 und 1kann auf die Verwendung von Verstrkern aufweite Distanzen verzichtet werden, weil dieSignalunterscheidung auch bei sehr langenLeitungen mglich ist.

Die theoretischen Grundlagen fr diese

Technik wurden 1940 gelegt. Durch neuerebertragungstechniken konnten zunchst 2 unddann ca. 10 Gesprche ber ein und dieselbeLeitung bertragen werden.

Bei den ISDN-Anschlssen mu man zwischenzwei Anschluarten unterscheiden: Primrmultiplex-Anschlu (Europa: 30 B-

Kanle (64 kBit), 1 D-Kanal (64 kBit), 1Synchronisierungskanal (64 kBit) USA/Japan:23 B-Kanle (Japan 64 kBit, USA 56 kBit), 1 D-

Kanal(Japan 64kBit, USA 56 kBit), 1 Synchron-Kanal (16 kBit)


27/32


...ISDN / Packet Radio...

Fr die bertragung wird zunchst das

Sprachsignal als 12 Bit reprsentiert, undanschlieend auf 8 Bit geschrumpft. Bei derUmsetzung haben die USA eine andere Kennlinie(-Law) als der Rest der Welt (A-Law). BeimKonvertieren zwischen den Lndern entstehenVerluste, die sich bei Sprache nicht auswirken.Fr eine Datenbertragung mu deshalbsignalisiert werden, da es sich um einenDatenanruf handelt, sonst entsteht durch dieKonvertierung reiner Datenwust.

Physikalisch kommt beim Teilnehmer miteinem ISDN-Basisanschlu eine 2-adrige Leitungan den bergabepunkt, den NT (inDeutschland NTBA), der NT ist eine Bus-Installation (Punkt zu Mehrpunkt-Installation)mit interner und externer Terminierung, die 4-adrig zu den Endgerten geht. Auch bei derISDN-bertragung bekommt man auf das Signalein Echo, da durch Laufzeitbestimmungherausgerechnet wird (Echo-Kompensator).

Gesendet wird mit 144 kBit, das zu 120 kBit

verwrfelt wird (ternre bertragung: es werdennicht nur 1 und 0 gesendet, sondern auch -1,damit kommt es nicht zum Ladungsaufbau(Kapazitten), die Flanken der Signale bleibenvielmehr steil.

Wie passiert die Kommunikation?

Das Anmelden der Endgerte bei derVerbindungsstelle und das Protokoll zumVerbindungsaufbau zwischen zwei Teilnehmern

ndet sich in dieser Beispieldatei im Detailvorgestellt. Dies geht weit ber den Umfang einerAnfnger-Veranstaltung hinaus. Fr Interessiertendet sich das verwendete Programm unter:http://www.mms.de/~hacko/d-tracy).

Datenbertragung

Zur Datenbertragung werden weltweit 4Protokolle verwendet:

V.110: speziziert bis 19200, keine

Fehlerkorrektur, inzwischen obsolet(V.JEHOVA)

V.120: terminalgebundene Datenbertragungmit voller Ausnutzung der Bandbreite (istO.K.)

X.75: nur ein kleiner Bereich des Protokollswird verwendet. Man deniert Fensteranzahlund Blockgre, meist verwendet: BLK 2048W(indow)S(ize) 7; (wird baldverschwinden)

P.SYNC-PPP(RFC1717): verwendet zwischenISDN-Routern, fr Internet Zugnge (derheutige Standard).

Text: Derk Marko Reckel

Packet Radio - Eine Einfhrung

Datenfunk im Amateur- und CB-FunkdienstReferent: Henning Heedfeld [DG1YGH]

Packet-Radio ist ein paketorientierterDatenfunk im Amateur- oder CB-Funkdienst.Zur Zeit werden als gngige bertragungs-geschwindigkeiten 1.200 und 9.600 bit/s ein-gesetzt. Als Netzwerk-Standard wird das AX.25-Protokoll verwendet, ein speziell fr denAmateur-Datenfunk modiziertes X.25-Protokoll.Bei bertragungsgeschwindigkiten bis 2.400 bit/skann man mit handelsblichen Funkgertenarbeiten, der Anschlu funktioniert direkt ber

die Mikrofon-Buchse des Funkgertes. Beihhereren bertragungsgeschwindigkeiten muaufgrund der hheren Bandbreite eineModikation im Funkgert vorgenommenwerden: das Sendesignal wird dann hinter demFM-Diskriminator eingespeist.

Als Modem knnen zwei Gertearteneingesetzt werden: die preiswertere Lsung bietet1.200 bit/s und besteht aus einem Operations-verstrker sowie einigen passiven Bauteilen.

Dieses sogenannte PCCOM-Moden kostet imSelbstbau rund 20 DM oder ist fr ca 100 DM


28/32

Funk im Kurzwellenbereich betrieben wird, ist

ein effektiver Funkbetrieb aufgrund vonStrungen in der Regel nicht mglich.Desweiteren mssen im CB-Funk zugelasseneFunkgerte verwendet werden. Somit stehen nurGeschwindigkeiten von 1.200 bit/s zurVerfgung. Unter anderen rechtlichen Umstndenwre so eine preiswerte Realisierung vonWireless-LANs mglich, die auch mit wesentlichhheren Geschwindigkeiten betrieben werdenknnen.

Von der Kommunikations- zur

Informationsgesellschaft: Dummheit

in Netzen

Teil 14: Keine BewegungReferent: padeluun

Alle Jahre wieder wacht padeluun in einem

Workshopraum auf und spricht ber dummeSachen. Und wie jedes Jahr sitzen da Leute, dieder festen Meinung sind, sie machen gar keinedummen Sachen. Am Ende haben alle recht.

Zusammenfassend gesagt: Die Retrospektiveber die Alptrume der Electrosphre warharmloser als in den letzten Jahren; Ideen undMittel fr konstruktive Technikentwicklung sindgefunden, es mu aber weniger gejammert undmehr umgesetzt werden.

Nach dem Internet-Hype schmt sich

padeluun, sich als Mailboxbetreiber zu outen. AlsSystembetreiber spart er sich Hme undDaseinsberechtigungsdeklaration im Sysadmin-Environment. Die Standleitung ersetzt im Denkendas Kommunikationsnetzwerk, die lebendigeOnline-Community taucht im Denken der IP-Persnlichkeiten selten auf.

Auf einem Telekom-Servicewagen prangtinzwischen Kommunikation verbindet -Freundschaft vereint. Diese Grundhaltung ist

inzwischen bei PR-Agentur und Vorstand verbrei-


fertig aufgebaut im Fachhandel zu beziehen. Es

ist ein passives Gert, die Protokollumsetzungund Auswertung erfolgt ber eine zustzliche PC-Software.

Als zweite Mglichkeit, die grundstzlichvorzuziehen ist, knnen sogenannte TNCs(Terminal Node Controller) eingesetzt werden.TNCs sind sowohl fr 1.200 bit/s als auch fr9.600 bit/s erhltlich oder preiswert im Eigenbauzu realisieren. Im Eigenbau entstehen Kosten vonrund 150 DM, ein Fertiggert kostet zwischen 250und 350 DM. Ein TNC hat eine eigene, meist Z80-

basierende Microcontroller-Steuerung und kannsomit auch autark betrieben werden.

Die Ansteurung durch den PC erfolgt bereinen eigenen Befehlssatz. TNCs bietenausserdem die Mglichkeit, im sogenanntenTransparent-Modus betrieben zu werden. Somitkann mittels PPP oder SLIP eine TCP/IP-Verbindung aufgebaut werden. Im Praxistestwurden in einer Punkt-zu-Punkt-Funkstreckeber 7 km rund 300 Byte/s Datendurchsatz

erreicht (70cm Band, 9.600 bit/s bertragungs -geschwindigkeit im Simplex-Betrieb). Wesentlichhhere bertragungsraten knnen nur durchModikation auf 19200 bit/s oder unter Einsatzeiner Vollduplex-Verbindung erreicht werden, dadann die Hochtastzeiten der Funkanlagen wegfal-len.

Nachteilig ist hierbei, da auf beiden Seitendoppeltes Equipment bentigt wird.

Unklar ist bei einer solchen TCP/IP-Verbindung, ber die ja auch Internet geroutet

werden kann, die rechtliche Lage. Funkgerte fr9.600 bit/s sind zur Zeit nur imAmateurfunkdienst legal zu betreiben bzw. zumodizieren. Der Amateurfunkdienst darf nurvon lizensierten Funkamateuren betriebenwerden. Das Amateurfunkgesetz verbietetallerdings die Verbindung von Funkanlagen mitanderen Kommunikationsnetzen. Auerdem istdie bermittlung von verschlsselten Daten nichtzulssig.

Die legale Alternative wre der CB-Funk(Citizens Band = Jedermannsfunk). Da der CB-



29/32


nur als Figur aus der Szene vorgefhrt worden zu

sein.Wellen kann man reiten, nicht lenken

(Bismarck) und enden sie immer am Strand?Das Internet ist ein tolles Recherchemedium

mit vielen ruhenden Informationen. Erst Aktivittschafft Bewegung. Neben BayrischerHackerpost und Datenschleuder existiertePeter Glasers Labor, damals verpnt durchgeringere Technikzentrierung undzeitaufwendiges Layout. Konr@d kann alsdirekter Nachfolger gesehen werden, Kritik hin

oder her, die Selbstbekenntnis,ein buntes Heft zu machen, ist inder Nullnummer abgedruckt,wenn die Chaos-Themen hiermassenkompatibel werden, kannes nur besser werden.Auf dem Kongre kennt jederzehnte mindestens fnfBundestagsabgeordnete - hier isteine riesige Machtkonzentration.

Trotz allem existiert einPhnomen im Netz: DieHemmung der User, sich umihre eigenen Bedrfnisse zukmmern. Dabei geht es nichtmal um Eigenaktivitt, als

Jrgen Tauss (MdB SPD) umeine Zusammenfassung der

Forderungen aus einer Newsgroup bat,passierte wochenlang nichts - auer das weiterber die Forderungen diskutiert wurde. Das

zweistndige Thesensammeln fr eine Anhrungzum TKG im Bundestag wurden nicht realisiert.

So ist der Wandel der Kommunikations-gesellschaft zur Informationsgesellschaft einBild dieser Quasselnetze, jede/r redet mit,keine/r mehr miteinander.

Text: Mo Hataj

tet, CCC-Thesen der letzten Jahre tauchen immer

fter in der realen Welt auf.Was davon zu halten ist, sei dahingestellt. Als

Chaos-Computer-Club, -Communication-Congress und -Szene ist der Schritt vom Meckernzum ndern nicht getan worden. TrotzPesthrnchen gegen den Gilb und Teufel gegenTelekom muten erst Service-Training-Center und

business reengineering fr besseren Service vonTelekom-Hotlines sorgen.

Wre schn gewesen, wenn das vor 10 Jahrenbereits passiert wre. Klar, die Leidensfhigkeitder betroffenen Bevlkerung wardamals hher und jede/rAufrechte ein Terrorist. DieProbleme waren aber richtig imKern erkannt, Phantasie un

Documents

Datenschleuder #62